'Nobody'用户的目的是什么？

它负责运行不需要特殊权限的事务。通常保留给容易受攻击的服务（如httpd等），以便在它们被黑客攻击时，对系统的其他部分造成最小的损害。

与作为真实用户运行某个服务相比，如果该服务被攻陷（Web服务器有时会被利用来运行任意代码），它将作为该用户运行并具有该用户的所有访问权限。在大多数情况下，这和获得root权限一样糟糕。

您可以在Ubuntu维基上阅读更多关于nobody用户的信息：

• https://wiki.ubuntu.com/nobody

回答你的后续问题：
为什么我不能用“su nobody”访问这个账户？
通过“sudo grep nobody /etc/shadow”，你会发现nobody没有密码，所以你不能在没有账户密码的情况下使用“su”。最干净的方式是使用“sudo su nobody”。这将使你进入一个相当荒凉的“sh” shell。
你能给出一个具体的例子来说明何时需要使用这个账户吗？
当程序的操作不需要权限时。这在没有任何磁盘活动的情况下尤为明显。
一个真实的例子是我的电脑和服务器上运行的memcached（一个键值内存缓存/数据库/其他东西），它在nobody账户下运行。为什么呢？因为它根本不需要任何权限，给它一个有写文件权限的账户只会增加不必要的风险。

用户 nobody 仅保留给 NFS 使用。

上述答案都相当错误，因为它们假设 nobody 是一个"通用"的匿名/访客风格的用户标识。

在 UNIX/Linux 访问控制模型中，不存在匿名/访客风格的用户标识，以下是错误的建议：

• "常见的做法是将守护进程作为 nobody 运行，特别是服务器，以限制恶意用户获取守护进程控制权造成的破坏。"，由于下面的原因，这种技术的有用性会降低：" "然而，如果多个守护进程以此方式运行，那么获得其中一个守护进程的控制权就能够控制所有守护进程。"
• "一个现实世界的例子是我电脑和我的服务器上运行的 memcached（一种键值内存缓存/数据库/其他），使用 nobody 账户运行。为什么呢？因为它不需要任何权限，给它一个具有写访问文件权限的账户只会增加不必要的风险。"

创建并保留了用户ID为65534的“nobody”用户名，其目的是为了特定用途，并且应仅用于此目的：作为NFS树导出中未映射用户和用户ID的占位符。
也就是说，除非为NFS树导出设置了用户/ID映射，否则导出中的所有文件都将显示为由“nobody”拥有。这样做的目的是防止导入系统上的所有用户访问这些文件（除非它们具有“其他”权限），因为它们中没有任何人（除了“root”）可以成为“nobody”。
因此，将“nobody”用于任何其他目的都是非常糟糕的想法，因为它的目的是成为文件的用户名/用户ID，这些文件不得被任何人访问。
维基条目也是非常错误的。
UNIX/Linux的实践是为需要单独访问控制域的每个“应用程序”或应用程序区域创建一个新帐户，并且永远不要在NFS之外重复使用“nobody”。

在许多Unix变种中，“nobody”是一个常用的用户名，该用户账户不拥有任何文件，不属于特权组，并且除了其他用户都具备的能力外，没有其他特殊权限。
通常情况下，特别是服务器，将守护进程以nobody身份运行，以限制恶意用户对其可能造成的损害。然而，如果有多个守护进程以此方式运行，这种技术的有效性就会降低，因为控制其中一个守护进程将提供对所有守护进程的控制。原因在于，由nobody所拥有的进程具有向彼此发送信号甚至调试彼此的能力，从而使它们能够读取甚至修改彼此的内存。
信息来源：http://en.wikipedia.org/wiki/Nobody_(username)。

默认情况下，在新安装的系统上（在Ubuntu桌面版13.04上进行了验证），会创建一个名为nobody的用户。
在许多*nix变体中，"nobody"是一个常用的用户名，该用户账户不拥有任何文件，不属于特权组，并且除了其他用户都具备的能力外，没有其他特殊权限（"nobody"用户和组在"/etc/sudoers"文件中没有任何条目）。
通常会将"nobody"作为"守护进程"的运行用户，尤其是服务器，以限制恶意用户获取对它们的控制所造成的损害。然而，如果有多个守护进程以此方式运行，这种技术的实用性就会降低，因为控制其中一个守护进程将提供对所有守护进程的控制。原因在于"nobody"所拥有的进程具有向彼此发送信号甚至调试彼此的能力，使它们能够读取甚至修改彼此的内存。
来源： Wikipedia - Nobody (username)

---

The nobody-owned processes are able to send signals to each others and even ptrace each other in Linux, meaning that a nobody-owned process can read and write the memory of another nobody-owned process.

This is a sample entry of the nobody user in the /etc/passwd file:

alaa@aa-lu:~$ grep nobody /etc/passwd
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh

As you may notice, the nobody user has /bin/sh as a login shell and /nonexistent as the home directory. As the name suggests, the /nonexistent directory does not exist, by default.

If you are paranoid, you can set nobody’s default shell as /usr/sbin/nologin and so, deny the ssh login for the nobody user.

_{Source: LinuxG.net - The Linux and Unix Nobody User}

没有人是一个特殊的用户和组账户。因为它是一个实际的用户名（和组名），可以被进程甚至用户使用，所以它并不是字面上的“nobody”。例如，一些Apache配置将nobody作为拥有网站文件和目录的用户/组。问题出现在多个进程可能使用nobody用户时，比如NFS目录和Web服务器。

对于“用户nobody仅用于NFS。”答案，有一个小修正。此时，nobody用户还用于具有绑定挂载的非特权容器。
这段话来自systemd-nspawn，具体是--bind挂载选项：

请注意，当此选项与--private-users结合使用时，生成的挂载点将由nobody用户拥有。这是因为挂载及其文件和目录仍然归相关主机用户和组所有，而这些在容器中不存在，并以通配符UID 65534（nobody）显示。如果创建此类绑定挂载，建议使用--bind-ro=将其设置为只读。

systemd-nspawn